2024 m. spalio 03 d. Darbuotojų stebėsena: kaip neperžengti ribų Šaltinis: maistininkuprofsajunga.lt Tema: Darbuotojų stebėjimas, Darbuotojų teisės, Duomenų apsauga, Kolektyvinės derybos, Socialinis dialogas Dalintis: Tradiciškai esame pripratę darbuotojų stebėseną laikyti vaizdo, garso įrašus darbo vietoje, tačiau dažnai įmonės nesusimasto, kad darbuotojų stebėseną apima ir platesnį spektrą veiksmų, tokių kaip darbuotojų veiksmų, veiklos organizacijos el. sistemose sekimą ir fiksavimą, interneto naršymo, elektroninio pašto patikrinimą, ir pan.Paprastai įmonės teigia, kad pasirinktų stebėsenos priemonių tikslas įgyvendinti duomenų praradimo prevenciją, aptikti piktavališką veiklą sistemose, užkirsti kelią įsilaužimams ir pan. Vis dėlto pasirenkami įrankiai atlikdami savo funkcijas dažnai fiksuoja visą darbuotojo veiklą el. sistemose, o tai reiškia, kad pati organizacija vykdo darbuotojų stebėseną ir prisiima tokių asmens duomenų tvarkymo riziką ir pasekmes.Tokio stebėjimo metu gali būti fiksuojami labai jautrūs darbuotojų duomenys, t. y. kada darbuotojas prisijungė prie el. sistemos, kada ir kokius veiksmus darbuotojas atliko, ką su kokiu dokumentu jis darė, kokiose interneto svetainėse lankėsi, kokius el. laiškus gavo ir siuntė, taip pat gali būti stebima informacija ir darbdavio komunikavimo programose.Darbdavio pareigosSiekiant išvengti nesusipratimų, darbdaviams pirmiausia patartina suinventorizuoti naudojamus informacinių technologijų įrankius ir įvertinti kokią informaciją tie įrankiai renka ir saugo. Jeigu bus nustatyta, kad įrankių pagalba vykdoma darbuotojų stebėsena (nors ir ne tiesioginė), organizacija privalo atlikti poveikio duomenų apsaugai vertinimą (PDAV), kurio tikslas identifikuoti kokius darbuotojų duomenis renka darbdavys vykdydamas stebėjimą, nustatyti su tokiu stebėjimu susijusius pavojus bei sukurti tokių pavojų pašalinimo ar sumažinimo planą.Kitaip tariant, vertinimo metu analizuojama, ar darbdavys tikrai turi teisinį pagrindą stebėti darbuotojus tokiu mastu, kiek ir kokių darbuotojų asmens duomenų renka ir ar nekyla didelė grėsmė darbuotojų privatumui. Šis vertinimas padeda nustatyti, ar tikrai nustatytų tikslų darbdavys negali pasiekti mažiau intervencinėmis priemonėmis, pavyzdžiui, siekdamas apsaugoti IT infrastruktūrą, darbdavys turėtų ne registruoti visą darbuotojų veiklą tinkle, bet užblokuoti prieigą prie interneto svetainių, kurios nėra suderinamos su darbdavio saugumo politika.Būtina nepamiršti, kad nors darbuotojas ir yra darbdavio žinioje ir dirba jo suteiktomis darbo priemonėmis, darbuotojų privatumas darbe taip pat turi būti užtikrinamas.Dažniausiai identifikuojamos rizikosAtlikus detalų poveikio duomenų apsaugai vertinimą, paprastai nustatomi pavojai bei rizikos, susijusios su darbuotojų privatumo užtikrinimu ir ES Bendrojo duomenų apsaugos reglamento (BDAR) atitiktimi.Būtina prisiminti, kad poveikio duomenų apsaugai vertinimą apima ne tik teisinės rizikos identifikavimas, bet ir techninio saugumo lygio įvertinimas. Ir tai visiškai suprantama, nes jei darbdavys fiksuoja tokios apimties darbuotojų asmens duomenis, turi būti įvertinta, ar jis prisiima atsakomybę tuos duomenis tvarkyti saugiai.Praktikoje dažniausiai identifikuojamos šios rizikos:Įmonės naudoja pasirinktų technologijų funkcionalumus visa apimtimi, net neįvertinus kad dalies informacijos joms iš viso nereikia. Dėl šių priežasčių renkama daugiau duomenų nei reikia, o tai sąlygoja ir didesnę darbdavio atsakomybę.Darbuotojai nėra tinkamai informuojami. Paprastai darbuotojai informuojami lakoniškai apie jų stebėjimą, nenurodant kokie įrankiai yra darbdavio stebimi, kokie duomenis renkami, kokiu dažnumu, kokia apimtimi, kiek saugomi ir t. t.Netinkamai valdomos prieigos teisės. Įmonės nevaldo prieigos teisių prie tokių duomenų, o sistemų administratoriai paprastai nėra kontroliuojami.Duomenys nėra šifruojami. Tokio pobūdžio saugumo priemonės trūkumas gali lemti duomenų atskleidimą.Nedokumentuotas ir nenustatytas įrašų saugojimo terminas. Organizacijos paprastai negali įvardinti, kiek laiko saugo įrašus apie darbuotojų veiksmus el. sistemose.Kada ribos jau yra peržengiamos?Dažnai praktikoje kyla klausimas: kada toks darbdavio darbuotojų stebėjimas yra jau neteisėtas? Visų pirma, stebėjimas turi būti atskleistas, todėl slaptas stebėjimas yra negalimas. Praktikoje turime keletą išimčių iš šios taisyklės, pvz.: slaptas vaizdo įrašo darymas, turint įtarimų dėl vagystės, tačiau tokius atvejus visada reikia vertinti atskirai.Kita rizika yra susijusi su naudojamomis technologijomis. Didėjant technologinei plėtrai, įmonės vis dažniau naudoja labiau intervencinius ir skvarbesnius informacinių technologijų sprendimus, kurie turi galimybę fiksuoti klaviatūros paspaudimus, pelės judesius, fiksuoti ekrano vaizdą, registruoti naudojamas programas ir jų naudojimo trukmę, o kartais net tam tikruose įrenginiuose – įjungti internerines kameras bei fiksuoti siunčiamą vaizdą. Toks darbuotojų veiksmų stebėjimas yra labai intensyvus, todėl pagrįstai gali kilti klausimas, ar tikrai toks stebėjimas būtų teisėtas ir proporcingas.Apibendrinant primintina, kad darbuotojų stebėjimas yra laikytinas pagrindine grėsme darbuotojų privatumui, todėl darbdaviai prieš vykdydami stebėjimą turi įvertinti tokių veiksmų proporcingumą ir nepamiršti dokumentuoti vertinimo bei išvadų.Be to, darbdavys turi bendradarbiauti su darbuotojų atstovais ir informuoti juos apie numatomas diegti darbuotojų stebėjimo priemones, pagrįsti jų būtinumą, pateikti priežastis, dėl kurių buvo nuspręsta stebėti darbuotojus, kaip bus užtikrinamas darbuotojų asmens duomenų saugumas, kokie duomenis renkami, kokiu dažnumu ir apimtimi, kokia jų saugojimo trukmė, kt.Primename, kad darbdavio ir profesinės sąjungos (jei tokia įmonėje yra) atstovai darbuotojų stebėsenos principus gali numatyti ir kolektyvinėse sutartyse.Darbuotojams svarbu atminti, kad jei kyla klausimų dėl jų stebėjimo darbo vietoje, jie gali kreiptis į savo profesinę sąjungą, kuri ieškos išeičių užtikrinant darbuotojų teises bei saugumą.